Partager via

Configuration d'Outlook Web Access avec l'authentification par formulaires

  • Article

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Pour configurer Outlook Web Access avec l'authentification par formulaires

  1. Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.

  2. Dans le volet des tâches, cliquez sur l'onglet Boîte à outils.

  3. Sous l'onglet Boîte à outils, cliquez sur Objets réseau et sur Nouveau, puis sélectionnez Port d'écoute Web pour ouvrir l'Assistant Nouveau port d'écoute Web.

  4. Suivez les étapes de l'Assistant Nouveau port d'écoute Web, tel qu'indiqué dans le tableau suivant.

    Page Champ ou propriété Paramètre ou action

    Assistant Nouveau port d'écoute Web

    Nom du port d'écoute Web

    Tapez un nom pour le port d'écoute Web. Par exemple, tapez Port d'écoute basé sur les formulaires OWA.

    Sécurité de la connexion des clients

    Sélectionnez Requiert des connexions sécurisées SSL avec des clients.

    Adresses IP du port d'écoute Web

    Écouter les demandes Web entrantes sur ces réseaux

    Sélectionnez le réseau Externe. Cliquez sur Sélectionner les adresses IP, puis sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur Forefront TMG qui sont dans le réseau sélectionné. Sous Adresses IP disponibles, sélectionnez l'adresse IP du site Web, cliquez sur Ajouter, puis sur OK.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Certificats SSL de port d'écoute</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
          <p>

          </p>
        </td>
        <td colspan="2">
          <p>Sélectionnez <strong>Utiliser un certificat unique pour ce port d'écoute Web</strong>, cliquez sur <strong>Sélectionner un certificat</strong>, puis sélectionnez un certificat pour lequel le nom d'hôte dont se servent les utilisateurs pour accéder au site Web publié apparaît dans le champ <strong>Émis pour</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Paramètres d'authentification</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Sélectionner la manière dont les clients fournissent des informations d'identification à Forefront TMG</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Dans la liste déroulante, sélectionnez <strong>Authentification par formulaire HTML</strong>.</p>
          <p>Pour obtenir des instructions sur l'utilisation de l'authentification HTTP (option par défaut) ou l'<strong>authentification des certificats de client SSL</strong>, consultez <a runat="server" href="cc441538(v=technet.10).md">Configuration de l'accès des clients Outlook Web Access</a>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Collecter des informations d'identification de délégation supplémentaires dans le formulaire</strong>
          </p>
          <p>Cette case à cocher apparaît uniquement lorsque l'option <strong>Authentification par formulaire HTML</strong> est sélectionnée.</p>
        </td>
        <td colspan="2">
          <p>Activez cette case à cocher uniquement si vous souhaitez sélectionner <strong>Mot de passe à usage unique d'authentification pour serveur RADIUS</strong> ou <strong>SecurID</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Sélectionner le mode de validation par Forefront TMG des informations d'identification des clients</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Sélectionnez l'une des options disponibles. Dans le déploiement d'un groupe de travail, vous pouvez uniquement utiliser <strong>RADIUS</strong>, <strong>LDAP (Active Directory)</strong>, <strong>RADIUS OTP</strong> ou <strong>SecurID</strong>. </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Paramètres d'authentification unique</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Activer SSO pour les sites Web publiés à l'aide de ce port d'écoute</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Si vous activez l'authentification unique (SSO), vous devez cliquer sur <strong>Ajouter</strong> et spécifier un domaine dans lequel l'authentification unique sera appliquée.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Fin de l'Assistant Nouveau port d'écoute Web</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Vérifiez les paramètres, puis cliquez sur <strong>Terminer</strong>. Si une boîte de message apparaît, cliquez sur <strong>Oui</strong> pour activer la règle de stratégie système Autoriser tout le trafic HTTP depuis le serveur Forefront TMG vers tous les réseaux (pour le téléchargement des listes CRL).  </p>
        </td>
      </tr>
    </table>

  5. Dans le volet des tâches, cliquez sur l'onglet Tâches.

  6. Sous l'onglet Tâches, cliquez sur Publier l'accès de client Web Exchange pour ouvrir l'Assistant Nouvelle règle de publication Exchange.

  7. Effectuez les étapes de l'Assistant Nouvelle règle de publication Exchange comme indiqué dans le tableau suivant.

    Page Champ ou propriété Paramètre ou action

    Assistant Nouvelle règle de publication Exchange

    Nom de la règle de publication Exchange

    Tapez un nom pour la règle de publication Exchange. Par exemple, tapez Authentification par formulaires OWA.

    Sélectionnez les services

    Version Exchange

    Sélectionnez la version d'Exchange Server exécutée sur vos serveurs Exchange.

    Services de messagerie de client Web

    Sélectionnez Outlook Web Access.

    Type de publication

    Sélectionnez Publier un seul site Web ou un équilibrage de charge. Les autres options ne sont pas traitées dans cette procédure.

    Sécurité de la connexion des serveurs

    Sélectionnez Utiliser le protocole SSL pour se connecter au serveur Web publié ou à la batterie de serveurs. Cette option requiert l'installation sur chaque serveur frontal Exchange d'un certificat de serveur SSL pour lequel le nom d'hôte utilisé par Forefront TMG pour contacter un serveur Exchange apparaît dans le champ Émis pour.

    Informations de publication interne

    Nom de site local

    Tapez le nom d'hôte qui sera utilisé par Forefront TMG dans les messages de requête HTTP envoyés au serveur publié.

    Si le nom de site local spécifié dans ce champ ne peut pas être résolu et n'est ni le nom de l'ordinateur ni l'adresse IP du serveur publié, sélectionnez Utiliser un nom ou une adresse IP d'ordinateur pour se connecter au serveur publié, puis tapez le nom d'ordinateur pouvant être résolu ou l'adresse IP du serveur publié.

    Informations sur le nom public

    Accepter les demandes pour

    Sélectionnez Ce nom de domaine (saisissez ci-dessous).

    Nom public

    Entrez le nom de domaine complet public ou l'adresse IP que les utilisateurs externes utiliseront pour accéder au site Outlook Web Access publié.

    Sélectionnez le port d'écoute Web

    Port d'écoute Web

    Dans la liste déroulante, sélectionnez le port d'écoute Web créé à l'étape 4. Vous pouvez ensuite cliquer sur Modifier pour modifier les propriétés du port d'écoute Web sélectionné.

    Délégation d'authentification

    Sélectionnez la méthode utilisée par Forefront TMG pour authentifier le serveur Web publié

    Sélectionnez Authentification de base.

    Ensembles d'utilisateurs

    Cette règle s'applique aux demandes émanant des ensembles d'utilisateurs suivants

    Si vous utilisez la validation des informations d'identification Windows, ne modifiez pas l'option par défaut Tous les utilisateurs authentifiés. Si vous utilisez la validation RADIUS ou LDAP, vous devez utiliser un ensemble d'utilisateurs configuré pour l'espace de noms RADIUS ou LDAP, respectivement.

    Fin de l'Assistant Nouvelle règle de publication Exchange

    Vérifiez les paramètres, puis cliquez sur Terminer.

  8. Dans le volet d'informations, cliquez sur le bouton Appliquer pour enregistrer et mettre à jour la configuration, puis cliquez sur OK.

    9. noteRemarque :
    • Pour toute publication via le protocole SSL, un certificat de serveur SSL émis pour le nom d'hôte public du site Web publié doit être installé dans le magasin personnel de l'ordinateur local sur l'ordinateur Forefront TMG. Pour plus d'informations sur l'obtention et l'installation de certificats de serveur SSL, consultez Configuration de certificats de serveur pour la publication Web sécurisée.

    • Dans la page Adresses IP des ports d'écoute Web de l'Assistant Nouveau port d'écoute Web, vous pouvez également sélectionner Adresses IP par défaut pour les cartes réseau sur ce réseau. Si l'équilibrage de la charge réseau est activé, cette option sélectionne automatiquement les adresses IP virtuelles. Sinon, l'adresse IP par défaut est automatiquement sélectionnée pour chaque carte réseau.

    • Si vous exigez que les utilisateurs présentent un certificat client SSL, la règle de stratégie système Autoriser tout le trafic HTTP depuis le serveur Forefront TMG vers tous les réseaux (pour le téléchargement des listes CRL) doit être activée. Cette règle de stratégie système permet à Forefront TMG de recevoir des listes de révocation de certificats mises à jour en vue de la validation des certificats des clients.

    • Vous pouvez activer l'authentification par formulaires sur l'ordinateur Forefront TMG ou le serveur Exchange, mais pas sur les deux. Cette procédure concerne l'authentification par formulaires sur l'ordinateur Forefront TMG et non sur les serveurs Exchange.

    • Dans le cadre de l'authentification par formulaires, l'utilisateur est dirigé vers un formulaire HTML. Une fois que l'utilisateur a fourni ses informations d'identification dans le formulaire et que ces informations sont validées, le système émet un cookie contenant un ticket. Pour les demandes consécutives, le système vérifie tout d'abord ce cookie pour voir si l'utilisateur a déjà été authentifié ; si tel est le cas, il n'a pas besoin de retaper ses informations d'identification.

    • Si vous utilisez la validation des informations d'identification RADIUS, l'ordinateur Forefront TMG doit être enregistré en tant que client RADIUS sur le serveur RADIUS et la règle de stratégie système RADIUS doit être activée pour autoriser le trafic RADIUS de l'ordinateur Forefront TMG (réseau de l'hôte local) vers le réseau interne. Cette règle suppose que le serveur RADIUS est situé sur le réseau interne.

    • Si vous sélectionnez la validation des informations d'identification RADIUS, LDAP ou RADIUS OTP, vous devez modifier les propriétés du port d'écoute Web que vous créez pour spécifier les serveurs RADIUS ou LDAP qui seront interrogés en vue de l'authentification.

    • Les utilisateurs se connectent à Outlook Web Access en ouvrant une URL qui se présente généralement sous la forme suivante : https://nom_hôte/exchange. Il se peut que vous deviez modifier les mappages entre les chemins d'accès spécifiés par les utilisateurs et les chemins d'accès internes sous l'onglet Chemins d'accès des propriétés de votre règle de publication Web.

    • L'authentification par formulaires et l'authentification de base permettent de déléguer les informations d'identification envoyées à l'ordinateur Forefront TMG au serveur publié.

    • Pour plus d'informations sur les paramètres dans les règles de publication Web, consultez Planification de la publication.

    • Une fois cette tâche terminée, consultez Blocage des pièces jointes pour les clients Microsoft Outlook Web Access.

    Rubriques connexes

    Concepts

    Configuration de la publication Outlook Web Access